欧盟金融业数据保护法律

合集下载

欧盟《通用数据保护条例》5月25日正式生效个人数据隐私保护更全、更严

数据控制者和数据处理者外，欧盟境
外的数据控制者和处理者，只要其数
据处理活动向欧盟境内的个体提供商
品或服务。或涉及到监测欧盟境内主
体活动的。一概都是被管辖者。七¨较
币ｊ膏．《十令》ｌ通目ｊ池『韦Ｉ１Ｊ确｝地Ｕ
外更多个俸权利：比，保障个人不小面点关ｔｎ法律文什 ” 如Ｉ后的／２／ＮＩ、ｊ内告知监镎机构，如果可
对其数据的 “访问权 ”“限制处理权 ” 此一来．总小欧成员刚耽内，能危及个人的权利和＿Ｉ１．则需通知
ቤተ መጻሕፍቲ ባይዱ
受方式或默认同意方式，而未给予用户充分的选择权等做法，因此许多欧盟数据企业的做法需要改变。
据悉，此次立法的主旨之一．便是结束１９９５年《指令》颁布以来各成员国之间的数据保护法律制度差异问题，《条例》的统一规定将直接适用于各成员国。 ‘《条例》对各成员国直接生效，转化为其国内法。”杨东说，但与《指令》相比，《条例》的强制性较大， “从某种意义上讲《指令》不具有直接生效的权力，因为考虑到各成员国法律传统的不同，还是赋予各成员国存转化为国内法方面以一定的选择权。”

欧盟GDPR《一般数据保护法案》译文

译文｜欧盟GDPR《一般数据保护法案》编者按：2016年4月14日，欧洲议会投票通过了商讨四年的《一般数据保护法案》（General Data Protection Regulation，GDPR），该法案将于2018年5月25日正式生效。

GDPR的通过意味着欧盟对个人信息保护及其监管达到了前所未有的高度，堪称史上最严格的数据保护法案。

GDPR对于我国业务范围涉及欧盟成员国领土及其公民的企业进行合规运营、避免高昂处罚，以及对我国与数据相关的法学研究都具重要意义。

新法案由11章共99条组成，中文译本由中国政法大学互联网金融法律研究院（Internet financial law research institute of CUPL ,IFLRI）组织翻译。

第一章一般规定第1条主题与目标1. 本法就对与个人数据的处理相关的自然人的保护及个人数据的自由流动订立规则。

2. 本法保护自然人的基本权利和自由，尤其是自然人的个人数据保护权。

3. 不得以保护与处理的个人数据相关的自然人为由，限制或禁止个人数据在欧盟内部的自由流动。

第2条适用范围1. 本法适用于完全或部分以自动方式对个人数据的处理，构成或拟构成整理汇集系统一部分的自动方式除外。

2. 本法不适用于以下个人数据的处理：(a) 发生在联盟法律范围之外的活动过程中;(b) 由成员国在欧洲联盟条约第五卷第2章范围内进行活动时;(c) 由自然人在纯粹的个人或家庭活动的过程中;(d) 由主管当局为预防、调查、侦查或起诉的刑事犯罪，执行的刑事处罚的目的，包括防范和阻止公共安全受到威胁。

3. 欧盟机构、委员会、办事处和专业行政部门（代理机构）处理个人数据，适用第45/2001号条例。

根据本法第98条，处理个人数据适用第45/2001号条例和其他联盟法律法规的，应当符合本法的原则和规则。

4. 本法不影响2000/31 / EC指令的适用，特别是该指令第12条至第15条中的中间服务提供商的责任规则。

金融脱敏技术标准

金融脱敏技术标准
金融脱敏技术是一种数据处理技术，旨在保护敏感信息，如个人身份信息、财务信息、交易记录等，在金融行业中广泛应用。

下面是金融脱敏技术的主要标准和规范：
1. 《GB/T 35273-2017 金融信息服务筛选和脱敏规范》：该标准提出了金融信息服务中敏感数据的筛选和脱敏规范，包括数据分类、筛选规则、脱敏方法、脱敏效果等方面的要求。

2. PCI-DSS：此标准是全球各大银行卡公司共同制定的支付卡数据安全标准，要求金融机构在处理银行卡数据时必须采用脱敏技术，同时还规定了脱敏技术的具体实现方法和效果要求。

3. GDPR：欧盟采用的一项保护个人数据的法律，规定企业必须采用有效的脱敏技术来保护个人数据隐私，并确保经过处理后的数据仍然具有一定的匿名性。

4. ISO 27001：这是一个信息安全管理标准，它要求企业在处理金融数据时，必须采取有效的脱敏技术来保护数据安全，并设计相应的安全保障措施来防范数据泄露和攻击。

5. CNAS-RL06：这是中国合格评定国家认可委员会制定的数据安全评估标准，其中包括了金融机构在处理敏感数据时需要遵守的脱敏技术规范和数据保护措施。

总之，金融脱敏技术的标准和规范有很多，这些标准和规范为金融机构提供了具体的技术实现方案和具体的实践指导，帮助金融机构更好地处理敏感数据和保护用户信息隐私。

金融数据保护法律法规

完整性原则
金融机构应采取必要措施确保个人金融信息的完整性和准确性，避免数据损坏或丢失。
可用性原则
金融机构应确保个人金融信息的可用性和可访问性，以便信息主体随时查询和使用自己的信息。
数据传输规范
加密传输
金融机构在传输个人金融信息时，应采用加密技术确保数据传输的安全性，防止数据在传输过程中被窃取或篡改。
投诉举报渠道
公众可通过金融机构的客户服务热线、官方网站、营业网点等途径进行投诉举报。同时，也可向相关监管部门进行投诉举报。
处理程序
金融机构和相关监管部门在接到投诉举报后，应及时进行调查核实，并根据调查结果依法依规进行处理。对于涉及违法违规行为的，应依法追究相关机构和人员的法律责任。同时，应加强对投诉举报人的信息保密工作，确保投诉举报人的合法权益得到保障。
准确性原则
数据准确性
金融机构应当采取措施确保个人金融信息的准确性，对于发现的错误信息应当及时更正或者删除。
持续更新
对于因技术原因无法确保个人金融信息准确性的，金融机构应当及时向被收集者告知并更新信息。
保密性原则
保密义务
金融机构及其工作人员应当对收集的个人金融信息严格保密，不得泄露、篡改、毁损，不得出售或者非法向他人提供。
法律法规的核心内容
这些法律法规的核心内容包括明确数据保护原则、规定数据处理者的义务、保障数据主体权利、设立监管机构及处罚措施等。
03
法律法规的实施效果
通过实施这些法律法规，可以加强对金融数据的保护，减少数据泄露风
险，提高金融机构的数据安全管理水平，维护金融市场的稳定和信誉。
02
CATALOGUE
共享程序
金融机构应当建立数据共享的内部管理制度和操作程序，明确共享数据的范围、方式、安全保护措施等，并接受监管机构的监督。

欧盟金融市场的法律框架

欧盟金融市场的法律框架金融市场是欧盟经济发展中非常重要的组成部分，它的发展不仅关系到欧盟国家的经济繁荣，也关乎全球金融市场的稳定。

为了维护金融市场的健康运转，欧盟在多个方面实施了相应的法律框架，保障了金融业的正常运转和金融消费者的利益。

本文将从欧盟金融市场的法律框架入手，深入探讨欧盟各项金融法律规定的实施现状和未来发展方向。

一、金融服务市场的法律框架金融服务市场是欧盟金融市场的核心板块，是各类金融产品的交易和服务的枢纽。

为了保护消费者的权益和规范金融市场的秩序，欧盟实施了一系列针对金融服务市场的法律框架，如金融市场基准利率监管、金融服务机构的注册和监督等。

这些规定会对金融性质的机构、金融产品和金融服务进行明确的规范和监管，以防止金融市场出现不稳定因素。

欧洲证券与市场管理局（ESMA）是负责在欧盟范围内提供统一监管制度的机构。

它的职责包括：协助欧盟委员会制定金融监管法规，通过加强金融监管措施保护投资者和金融市场的利益，监督市场参与者的行为，防止欺诈和垃圾邮件等金融犯罪行为。

二、投资者保护的法律框架随着投资理财的普及化，欧盟金融市场上涌现了越来越多的小型投资者和自然人投资者。

这使得投资者权益保护的问题愈加受到各界关注。

为了规范金融市场的行为，欧盟对金融机构的业务处理和投资者权益进行了具体的规定。

例如：向投资者提供投资产品须要遵循真实、准确、全面、及时、公正、明确的规定。

同时，还规定金融机构必须保障投资者享有完整的知情权、权利和自主决策权，如投资客户应清楚地知道他们投资的内容、风险，以及与投资有关的所有费用。

投资者保护的法律框架还规定了金融机构应该遵循的监管准则。

欧盟的投资者保护规定要求主管当局对金融机构在的准入条件、公司治理、信息制度和客户保护方面进行监管。

其中，监管侧重于金融机构的严格监管和投资者权益的保护。

三、欧洲银行统一监管框架（SREP）对于银行业而言，其对国家经济和金融市场稳定性影响巨大。

欧盟《一般数据保护条例》监管实效与应对策略

欧盟《一般数据保护条例》监管实效与应对策略欧盟2016年5月24日通过的《一般数据保护条例》（GDPR），于2018年5月25日正式实施，其前身是欧盟1995年制定的《计算机数据保护法》。

GDPR实施以来，因为其严格的规定、高昂的罚款、广泛的适用范围，被称为史上最严格个人数据保护法案，GDPR的出台从正面来看有助于推动我国跨国企业的数据治理水平，值得我们学习借鉴，但从另一个方面来看，欧美发达国家单方面以立法形式，强迫他国遵守本国法律的行为，对国际贸易活动产生了深远影响，我们需要尽快予以有效应对。

一、GDPR对个人信息保护的主要内容一是强化监管机构的监督力度。

打破传统立法管辖权，明确了GDPR长臂管辖原则，同时在欧盟辖内设立专门的监管机构，并赋予其欧盟数据监管的最高机构的地位，为增强监管机构的执法权，赋予了其对违法行为进行巨额罚款的权利。

二是强化个人数据主体权利，明确数据主体的司法救济、赔偿权、被遗忘和删除权，提高了数据主体授权数据处理的有效标准。

三是强化企业数据管理的义务，明确企业有接受检查和信息披露的义务，并以制度方式要求企业实行数据文档化管理，并强制要求企业以规定形式设立数据保护官（DPO）职位，一旦数据发生数据泄漏，企业必须在规定时间内向社会公众履行告知义务。

二、GDPR的监管实效（一）以巨额罚款倒逼企业提升个人数据处理水平。

GDPR 实施以来，一部分企业为避免高昂的处罚成本，选择暂时撤出了欧盟市场，而另一部分有实力的大型企业为继续在欧盟范围内开展业务，选择积极谋求与GDPR的合作，不断改进和完善自身个人数据处理的综合水平。

GDPR定义了个人在互联网背景下拥有的信息权利，保护了自然人的信息权益，并以巨额的罚金倒逼信息采集机构、处理机构、使用机构积极维护个人享有的信息权利。

从GDPR近年来罚款原因看，逾三成罚款源于数据处理机构的数据处理行为缺乏合适的依据，还有近三成的罚款源于处理机构没有采取有效的技术手段保护个人数据安全。

欧盟国家的信用管理法规

可编辑ppt
2
导致的结果：
在这样的背景下，欧盟形成了联盟统一的信用管理法规，如欧洲
委员会制定的《个人自动文档保护公约》，为促进欧洲经济一体
化，维护欧洲市场的公平性，欧盟议会于1995年通过了第一部有
关信用管理的公共法律------《关于处理个人数据和个人数据自由
流动中个人保护的指引》。
可编辑ppt
1.数据来源于丹麦正式公开公布; 2.单个贷款人有超过1000丹麦克朗的债务，法院已经对借款人采取法律措施。
这些规定比欧盟《指南》严厉得多。
可编辑ppt
8
德国
《联邦数据保护法》
可编辑ppt
9
德国
在德国，规范个人数据保护行为的是1990年的《联邦
数据保护法》。个人数据的处理和使用必须征得本人的
书面同意。在获得同意时，必须将存储记录的目的告诉
金融机构须每月向联邦银行报送包括信贷业务数据在内的
各类统计报表。信用中国打造中国信用监督平台联邦银行
通过建立“信贷登记中心”的信息共享机制控制银行业内
部的信用风险。
德《联邦数据保护法》规定，德联邦内政部负责国家
秘密保护工作的指导、监督和管理。联邦政府及各州政府
均须设立个人数据保护监管局，负责对掌握个人数据的政
第三条第四条第五条
必须告知债务人，而且债务人任何时候都有权获得目前档案的详细资料；只有信用局的客户才能获取数据；只有在债务超过1000丹可麦编克辑朗pp（t 约140美元）且债务人做了书面确认并实施了6法律措施的情况下才能够收集信息。
此外，丹麦《私营登记法》
！还规定
可编辑ppt
7
只有在以下情况下才能提供汇总负责数据：

欧盟的监管机构与监管措施

欧盟的监管机构与监管措施欧洲联盟（EU）作为一个经济和政治联盟，拥有许多监管机构来确保成员国遵循共同的法律框架并保护欧洲市场的公平竞争。

本文将介绍一些欧盟的监管机构，并探讨它们所采取的监管措施。

一、欧洲银行监管局（EBA）欧洲银行监管局是欧盟内负责银行监督的主要机构之一。

它的主要任务是确保欧洲银行业的稳定，并协调监管政策的一致性。

EBA监管银行的风险管理和监督，并促进各国监管机构之间的信息共享和协调。

EBA采取了一系列监管措施来实现其目标。

首先，它制定了财务和风险管理的标准和指南，要求银行遵循这些规定进行业务经营。

其次，EBA进行监管评估和压力测试，以评估银行的风险暴露和资本充足性。

此外，EBA还发布了关于银行业监管的报告和指导，以提高监管的透明度和一致性。

二、欧洲证券与市场监管局（ESMA）欧洲证券与市场监管局是欧盟内监管证券和金融市场的机构。

它的目标是保护投资者、维护市场稳定，并促进资本市场的统一监管。

ESMA负责制定和监督金融市场的规则，以确保市场的透明度和公平竞争。

ESMA采取了多种监管措施来实现其目标。

首先，它发布了欧洲证券和金融市场的法规和指南，要求公司和金融机构遵守这些规定。

其次，ESMA进行监管评估和监控，以确保市场的稳定性和投资者的保护。

此外，ESMA还通过发布指导文件、举办研讨会等方式，提供监管建议和培训，以提高市场参与者对规则的理解和遵守度。

三、欧洲数据保护委员会（EDPB）随着数字经济的快速发展，个人数据的保护成为一个重要的问题。

欧洲数据保护委员会负责监督和促进欧盟成员国在个人数据保护方面的合规性。

该机构确保个人数据的合法和安全使用，并协调欧盟成员国之间的数据保护政策。

EDPB采取了多种监管措施来保护个人数据。

首先，它监督和审查欧洲成员国的数据保护法律和政策，并提出改进措施。

其次，EDPB提供专业意见和指导，帮助企业和个人遵守数据保护规定。

此外，EDPB 还协调不同国家的数据保护机构之间的合作，促进数据保护事务的一致性和协调性。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

Financial Privacy and Data Protection in the enlarged European UnionProf. Dr. Alfred Büllesbach, Chief Corporate Data ProtectionOfficerProf. Dr. Alfred Büllesbachcustomer dataPIN TAN credit line account balance debit balancename address telephone number account number spreading of risks Income financial obligations Places of whereabout sRisks and Dangers •Creation of User profiles•Manipulation of transferred or stored data •Unauthorised knowledge of data•Misuse of data for purposes they were not collected for•Unauthorised use of data•Deletion of data by unauthorised personsObjective of Data Protection:Protection of the personal rights of those whose data is being processedProf. Dr. Alfred BüllesbachBasic Principles of Data Protection in Europe I ➔Data Avoidance and Economy➔Legal authorisation or customer consent➔Data integrity and accuracy➔Compliance with the purpose➔Restrictions on data transfer to foreign countries➔Binding employees to data secrecy and limitation/control of access to personal customer data➔Assuring technical data securityProf. Dr. Alfred BüllesbachBasic Principles of Data Protection in Europe II ➔Rights to individuals:•notice•access•correction an deletion•objection against data use for marketing purposes•right not to be subject to an automatedindividual decision➔Only in Germany:•According to Section 6c of the BDSG, mobile storage media (chip cards) must besubmitted to prior data-protection checks bythe corporate data-protection officer.•Section 6b of the BDSG restricts the optical supervision of rooms open to the public. Theconcerned individual must be informed aboutProf. Dr. Alfred BüllesbachInternational data-protection regulations in Europe: Conventions and Charters •Article 8 of the Convention of the Council of Europe for the Protection of Human Rights and Fundamental Freedoms:“Everyone has the right to respect for his private and family life,his home and his correspondence.”•Convention of the Council of Europe for the Protection of Individuals with regard to AutomaticProcessing of personal Data•Article 8 Section 1 of the Charter of Fundamental Rights of the European Union:“Everyone has the right to the protection of personal dataconcerning him or her.”➨The right to data protection is a human right inProf. Dr. Alfred BüllesbachProf. Dr. Alfred Büllesbach International data-protection regulations in Europe: Directives I •1991:Council Directive on money laundering •1995: Data Protection Directive –implementation still not successful in France, Luxembourg, Ireland –will create a standardised legal data protection in the member states, allow data transfer within the EU domestic market and facilitate the cross-border flow of financial data within the EU •1997: Telecommunication Data Protection Directive Article 12: –The use of automated calling systems or fax for the purposes of direct marketing are only allowed if addressees have given their prior consent.–Member States take appropriate measures by national legislation.–Right to choice applies to subscribers who are naturalInternational data-protection regulations in Europe: Directives II •1999: Directive about Electronic Signaturesobjective: facilitating the use of electronic signatures andcontributing to their legal recognitiondistinction between “electronic” and “advancedelectronic” signaturescreates the conditions that ensure safe use of digitalsignatures in legal and business transactionsopportunities have been little used•2000: E-Commerce Directiveobjective: ensuring the free movement of informationsociety services between the Member Statesapproximates national provisions on information societyservices relating to the internal market, theestablishment of service providers, commercialcommunications, electronic contracts, the liability ofintermediaries, codes of conduct, out-of-court disputeProf. Dr. Alfred BüllesbachProf. Dr. Alfred Büllesbach International data-protection regulations in Europe: Proposal of the EU-Commission •1999: Amended proposal for a Directive concerning the distance marketing of consumer financial services objective: access without discrimination to the widest possible range of financial services available in the Community, so that the consumer can choose the best suited to their needs guarantees high level of consumer protection ensuring the free movement of financial services in order to enhance consumer confidence in distance selling …financial service“ means any banking, insurance, investment or payment service Covers all financial services liable to be provided at a distance …distance contracts“: offer, negotiation and conclusion are carried out at a distance Member States may not adopt provisions other than those laid down in this Directive Problems:•Disparities in legal provisions concerning contracts andData-protection and bank secrecy •Bank secrecy is a product of the contractual relationship between bank and customer, data protection is imposed by act of law•Unlike bank secrecy, the German BDSG only protects natural persons•Bank secrecy is relevant only in connection to third parties, data protection also regulates the collection, storage, changing or use of data by the bank •Before a bank discloses customer data to third parties, it must observe both sets of legal obligations, if its customers are natural persons➨data protection and bank secrecy represent two separate regulations that do not oppose oneProf. Dr. Alfred BüllesbachNational data protection regulations I Right of the concerned individual toNotice Access Correction/Deletion Belgium x x x Denmark x x x Germany x x x Finland x x x France-x x Greece x x x Great Britain x x x Ireland x x x Italy x x x Luxembourg x x x The Netherlandsx x x Austria x x x Portugal x x x Sweden x x x Switzerland-x x Spain x x xProf. Dr. Alfred BüllesbachNational data protection regulations I Right of the concerned individual toNotice Access Correction/Deletion Bulgaria (Draft)Cyprus (Draft)Czech Rep.x x x Estonia if consent necessary x x Hungary x x x Latvia x x x Lithuania x x x Malta(Draft)Poland x x x Romania (Draft)Russia x x x Slovak Rep. x x x Slovenia if consent necessary x x Turkey (Draft)Prof. Dr. Alfred BüllesbachNational data protection regulations II Right of the concerned individual toChoice Onward Enforcement(opt-out) Transfer Belgium x x x Denmark x x x Germany x x x Finland x x x France x-x Greece x x x Great Britain x x x Ireland x-x Italy x x x Luxembourg x-x The Netherlands x xxAustria x x x Portugal x x x Sweden x x x Switzerland x-xProf. Dr. Alfred BüllesbachNational data protection regulations II Right of the concerned individual toChoice Onward Enforcement(opt-out) Transfer Bulgaria(Draft)Cyprus(Draft)Czech Rep.x x x Estonia x-x Hungary x x x Latvia x x x Lithuania x x x Malta(Draft)Poland x x x Romania(Draft)Russia x-x Slovak Rep.x x x Slovenia x-x Turkey(Draft)Prof. Dr. Alfred BüllesbachProf. Dr. Alfred Büllesbach National data protection regulations IIIconcerning to notify Data Protectionautomated OfficerdecisionsBelgium x x possibleDenmark x x -Germany x x xFinland x x -France x not generally -Greece x x -Great Britain x x -Ireland -x -Italy x x -Luxembourg -x-The Netherlands xx xAustria x x -Portugal x x -Sweden x x x Switzerland -x -National data protection regulations IIIconcerning to notify Data Protectionautomated OfficerdecisionsBulgaria(Draft)Cyprus(Draft)Czech Rep.-x-Estonia-processing of sensitive data-Hungary-x-Latvia-x-Lithuania-x-Malta(Draft)Poland-x-Romania(Draft)Russia-x-Slovak Rep.x x-Slovenia-x-Turkey(Draft)Prof. Dr. Alfred BüllesbachApplicability of the BDSG to Financial-Service Providers ➔Financial-service providers under private law: general provisions of the BDSG, as well as specific regulations for the private sector apply (Sections27-38a)➔Federal credit institutions under public law in free competition: Sections 27-38a apply as well➔The BDSG does not recognise any so-called corporate privileges: associated corporations in a corporate group are considered third parties inrelation to one anotherProf. Dr. Alfred BüllesbachCollecting, processing and use of personal data by financial-service providers: Relevant legal regulations outside the BDSG I ➔Data collected according to Section 31 of the Securities Trading Act about the financial situation of the client may be stored according to Section 34➔According to Sections 2 and 9 of the Money Laundering Act in connection with Section 154 of the Fiscal Code, financial institutions must storethe acquired data of depositors of cash amounts over 30.000 DM➔General accounting or recording obligations (Section 257 of the Commercial Code, Section319 of the Fiscal Code) can legitimise data-processing activities according to commercial and fiscal regulations➔Sections 915ff. of the Code of Civil Procedure and the List of Insolvent Debtors Code contain special data-protection regulations for the accessing ofdata in the debtors’ index and their use in creditindustryProf. Dr. Alfred BüllesbachCollecting, processing, and use of personal data by financial-service providers: Relevant legal regulations outside the BDSG II ➔According to Sections 13 and 14 of the Act Regulating Banking and Credit Business specific loans are to be disclosed➔In the case of the decease of a bank customer, transmission obligations of the bank are applicable to the revenue authority according to theInheritance Tax Law➔Credit institutions have information obligations for the control of investment-income-tax payment and have to respect official inspection rights in othertaxation procedures, public-investigationprocedures and criminal proceedings➔Employment offices have information rights before they agree to pay unemployment benefits (Section 315 of the Social Security Code Vol. III)➔Finally, an institution that acts as an employer has information-collecting obligations towards Social Security carriersProf. Dr. Alfred BüllesbachCollecting, processing, and use of personal data by financial-service providers: Legal basis in the BDSG ➔Section 28 of the BDSG concerns data processing for an entity’s own corporate purpose➔Data processing offered as a service, such as credit-information systems or directory distributors, is regulated by Section 29➔Data processing on behalf of others is regulated in Section 11 of the BDSG and Section 25a of the Act Regulating Banking and Credit BusinessProf. Dr. Alfred BüllesbachCollecting, processing, and use of personal data by financial-service providers: Section28 of the BDSG ➔Data processing to fulfil a contract with a client is permitted according to Section 28 of the BDSG➔Pre-contractual relationships are equivalent to contract➔Producing user profiles is included by credit-card contracts only for the purpose to minimise the risk for the customer and not for advertising➔Data processing and use without contract or exceeding the contract is allowed if it is required to preserve the justified interests (even advertising,marketing in coherence with the contract ) of thefinancial institution and protection-worthy interests of the concerned individual do not predominate➔According to Section 6a of the BDSG Credit Scoring and “Automated individual Decisions”Prof. Dr. Alfred BüllesbachData exchange with credit-protection systems: Section 29 of the BDSG ➔The customer releases the credit agency from the bank secrecy in the contract, e.g. by signing theGerman SCHUFA clause➔The transfer of data from the database of the credit protection system is based on the justified interest of associated corporations, e.g. Sections 29Paragraph 2 of the BDSG for the SCHUFAorganisations in Germany➔The credit protection system is obligated to document all retrievals from their databaseProf. Dr. Alfred BüllesbachCross-border data and payment transactions ➔According to Art. 25 I of the Data protection Directive, data transfer is permitted by law if anadequate level of protection is ensured➔If the third country does not ensure an adequate level of protection, the transfer is exceptionallypermitted according to Art. 26 I—if the data subject has given his consent—if the data transfer is part of a contract—if the transfer is necessary in the interest of the data subject—if the transfer is made from a register according to a law ➔If none of these exceptions applies, Contract Clauses or Codes of Conduct may guarantee an adequate level of protection➔The safe harbor principles can guarantee anProf. Dr. Alfred BüllesbachData-protection obligations for financial services offered by teleservice providers •To facilitate anonymous use and use based on a pseudonym if economically reasonable•To secure data protection using information technology•Not to create user profiles related to individuals •To observe regulation with regard to the use of contract, connecting, and billing data•To provide a right of access that can be electronically requested and granted➨long-term acceptance for electronic commerceProf. Dr. Alfred BüllesbachProf. Dr. Alfred Büllesbach。